Informationsrisikomanagement

Ähnliche Dokumente
Ulrich Heun, CARMAO GmbH. CARMAO GmbH

CeBIT CARMAO GmbH

TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

Unternehmensvorstellung

Workshop - Governance, Risk & Compliance - Integration durch RSA Archer

Die Grundlage für Ihre IT- Sicherheit. BSI ISO IT-Notfallplanung

DATENSCHUTZMANAGEMENT MIT VERINICE. Berlin, den

splone Penetrationstest Leistungsübersicht

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten.

12 Systemsicherheitsanalyse

bwsecurity day

ISO Zertifizierung

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP The OWASP Foundation

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

SICHERHEIT COMPLIANCE ISO27001

Security 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM)

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

IT-Grundschutz nach BSI 100-1/-4

Grundlagen des Datenschutzes und der IT-Sicherheit

Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

Informationen schützen Ihr Geschäft absichern ConSecur GmbH

Security Audits. Ihre IT beim TÜV

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

Integriertes Schwachstellen-Management

IT-Security Portfolio

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

Sicherheit auf dem Weg in die Microsoft Office365 Cloud Hybrider Exchange Schutz. Philipp Behmer Technical Consultant

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH

Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Einführung von Informationssicherheitsmanagementsystemen (ISMS) und Bewertung des Umsetzungsgrades. (c) SAMA PARTNERS Business Solutions GmbH

Interne Audits Feststellungen weitsichtig interpretieren. 06. Juni 2013, Hamburg

Wie Unternehmen 2014 kompromittiert werden

IT-Sicherheits- und IT-Audit Management. Dr. Jurisch, INTARGIA Managementberatung GmbH Dr. Kronschnabl, ibi-systems GmbH

Einführung eines ISMS nach ISO Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

industrial engineering Safety & Security integrierte Entwicklung 1

ISO Ihr. Angriffe Alexander Häußler TÜV SÜD Management Service GmbH

SC150 - ISMS Auditor/Lead Auditor ISO27001:2013 (IRCA A17608)

ITIL Trainernachweise

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

SC124 Kritische Infrastrukturen gem. ISO u. ISO 27019

Penetrationstests mit Metasploit

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

splone SCADA Audit Leistungsübersicht

Einführung eines ISMS nach ISO 27001:2013

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

RM vs. ISMS. Integration von IT-Risiken in das ganzheitliche Risikomanagement. it-sa, 8. Oktober Seite 1 AXA Konzern AG

IT-Security Portfolio

Informationssicherheit im Unternehmen effizient eingesetzt

Leitlinie für die Informationssicherheit

BSI Grundschutz & ISMS nach ISO 27001

DATALOG Software AG. Unternehmenspräsentation

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

IT-Revision als Chance für das IT- Management

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Outpacing change Ernst & Young s 12th annual global information security survey

ÜBUNG. Einführung in das IT-Projektmanagement Dr. The Anh Vuong WS 2016/17. Thema... 2 Projekt Struktur... 3 AUFGABEN... 5

Integrierte und digitale Managementsysteme

Informationssicherheit mehr als Technologie. Herzlich willkommen

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli Starnberger it-tag

Aktuelle Bedrohungslage

Patch- und Änderungsmanagement

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

FORUM. Gesellschaft für Informationssicherheit. ForumISM. Informations- Sicherheits- Management. effizient risikoorientiert ganzheitlich

Informationssicherheit und Datenschutz

T.I.S.P. Community Meeting 2014 Berlin, Wie können wir sichere Systeme entwickeln?

Automatisierung eines ISMS nach ISO mit RSA Archer

Pallas GmbH und Secunia präsentieren. Compliance und Nutzen eines automatisierten Patch Managements

Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz

So gelingt die sichere Kommunikation mit jedem Empfänger. -Verschlüsselung ist kein Hexenwerk

Betriebliches Notfallmanagement Business Continuity Management

Flächendeckend sicherer -Transport mit BSI TR Internet Security Days 2016, Brühl

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Webapplikations - Audit

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den

Der Weg zu einem ganzheitlichen GRC Management

am Beispiel - SQL Injection

Innenansichten eines Security Consultants

IT-Sicherheit: Mit Probealarm gegen Hacker

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP

GRC-Modell für die IT Modul GRC-Self Assessment 1

SEMINAR "WIRTSCHAFTSSTRAFRECHT- COMPLIANCE" (17./18. JUNI 2016)

Risiko-Reporting in der Lebensversicherung. Was sollte man reporten und warum? SAV-Kolloquium, 1. Juni 2012 Dr. Markus Engeli, Swiss Life AG

Sicherheit bei Internet- Kreditkartentransaktionen

ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz

SCHULUNGSPLATTFORM FÜR CYBERSECURITY TRAININGS. Schulungen und Erfolgsmessung für alle Mitarbeiter

LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

First Climate AG IT Consulting und Support. Energieeffiziente IT und Informationssicherheit ISO 27001:2013 AUDIT REVISION BERATUNG

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Transkript:

Informationsrisikomanagement 1

ROTER FADEN Das Unternehmen CARMAO Bedrohungen und Verwundbarkeiten Der Nutzen der Risikoszenarioanalyse 2

HERZLICH WILLKOMMEN Gegründet: Firmensitz: 2003 in Darmstadt Brechen (nahe bei Limburg a.d.l.) Geschäftsstelle: München Mitglied in: CAST, GDD, ISACA, KoSiB, VSW, Ploenzke Netzwerk Beratungen, Dienstleistungen und Schulungen zu risikoorientiertem Informationsmanagement Informationssicherheitsmanagement Identitäts-und Berechtigungsmanagement Informationsrisikomanagement BCM/ Notfallmanagement IT-Compliance inkl. Datenschutz Sicherheitskultur 3

IHRE WERTE VERLANGEN SCHUTZ! 4

BEDROHUNGEN Angreifer von außen Angreifer von innen Zufällige Angriffe Hoch motivierte Angriffe 5

ANGRIFFE AUF DIE UNTERNEHMENS-IT Prof. Kempf als Datev-Vorstand Eine fünfstellige Zahl an Attacken pro Jahr *) 10.000 : 365 = 27 pro Tag 99.999 : 365 = 273 pro Tag *) Quelle: heise online 27.06.2012 http://goo.gl/md7n3 6

BEDROHUNG TRIFFT AUF SCHWACHSTELLE Angreifer von außen trifft auf Unsicheren Server Szenario Hacker greift über Internet an Über die Eintrittswahrscheinlichkeit Ermittlung des Gefährdungspotentials 7

RISIKOORIENTIERTES SCHWACHSTELLENMANAGEMENT Risikominderung Schwachstellen Analyse Risikobewertung 8

CARVAS SCHWACHSTELLENANALYSE Risikominderung Schwachstellen Analyse Risikobewertung 9

SCHWACHSTELLEN-ANALYSE Infrastruktur Vulnerability Scans Architektur Reviews Audits von Rechenzentren und Gebäudesicherheit Etc. Applikationen Web Application Scans Application Penetration Tests Source Code Reviews Etc. Prozesse Audits von Rollen und Berechtigungen Audits von Review- und Genehmigungsworkflows Audits zur Compliance gegen Informationssicherheits-Policies Etc. 10

SCHWACHSTELLENLISTE Nach Schweregrad geordnet

HERAUSFORDERUNGEN Bei welcher Schwachstelle fange ich denn an? Nach welchem Kriterium legt man die Reihenfolge fest? Welche Aktivität liefert den größten Kosten/Nutzen-Effekt? Wie bekomme ich die Antwort ohne übermäßigen Aufwand? 12

RISK SCENARIO ASSESSMENT Risikominderung Schwachstellen Analyse Risikobewertung 13

INFORMATION SECURITY ASSETS Geschäftsprozess A Geschäftsprozess B Geschäftsprozess C Applikation 1 Applikation 2 Server 1 Server 2 14

RISK SCENARIO ASSESSMENT Szenario S1.1 Szenario S1.2 Geschäftsprozess A Geschäftsprozess B Geschäftsprozess C Applikation 1 Applikation 2 Server 1 Server 2 Hacker Schwachstelle X 15

RISK SCENARIO ASSESSMENT Szenario S1.1 Szenario S1.2 Geschäftsprozess A Geschäftsprozess B Szenario S2 Geschäftsprozess C Applikation 1 Applikation 2 Server 1 Server 2 Hacker Schwachstelle X Schwachstelle y 16

HERAUSFORDERUNG Geschätzte Kosten für die Beseitigung der Schwachstellen Schwachstelle x: Schwachstelle y: 19.000 EUR 11.000 EUR Verfügbares Budget: 20.000 EUR Nun ist guter Rat teuer!!!!

RISIKOKLASSIFIZIERUNG Beispiel: Gefährdung der Vertraulichkeit Risikoklasse Vertraulichkeit Schaden Wahrscheinlichkeit des Eintretens (Gefährdung) 10% 20% 30% 40% 50% 60% 70% 80% 90% Schaden -Auswirkung durch Verletzung der Vertraulichkeit Streng Vertraulich Katastrophal Vertraulich Signifikant Interner Gebrauch Beträchtlich Externer Gebrauch Nennenswert Gering Risikoakzeptanzschwelle RS 1.1 Mittel RS 1.2 Hoch Sehr Hoch RS 2 Behebung einer Schwachstelle reduziert Sehr Hohes Risiko bei nur nennenswertem Schaden Behebung einer anderen Schwachstelle behebt gleich mehrere Risiken Mittel/Hoch bei signifikantem Schaden

3 2 5 DAS MODELL ZUR RISIKOBEWERTUNG VeriNice steht unter Gnu Public License Konstruktion & Entwicklung Wartung durch Firma SerNet Empfohlen unter anderem vom BSI Dateiaustausch mit Ingenieurbüro Konstruktions-& Entwicklungsdaten 4 1 FTP-Server Unverschlüsselte FTP-Anmeldung 19

IHR NUTZEN Entscheidungen nach Wichtigkeit und Dringlichkeit Budgetanfragen mit Argumenten untermauert Zielgerichteter Einsatz von Budgetmitteln 20

SCHWACHSTELLENMANAGEMENT Risikominderung Schwachstellen Analyse Risikobewertung 21

RISIKOMINDERUNG Auswahl geeigneter Schutzmaßnahmen Berücksichtigung interner Sicherheitsrichtlinien Orientierung an ISO 27002 bzw. IT-Grundschutzkatalogen Management der Schwachstellen Workflow zur Steuerung der Schwachstellenbehebung Statustracking in einer Schwachstellendatenbank Schwachstellen-Repository Trendinformationen zur Schwachstellenentwicklung Dauer der Schwachstellenbehebung Integration in ein bestehendes ISMS nach ISO/IEC 27001

CARVAS SCHWACHSTELLENMANAGEMENT Toolunterstützung (MS Excel, MS Sharepoint, ISMS Tools, etc.) Risikominderung Erstellung und Umsetzung von Lösungskonzepten zu Einzelmaßnahmen Implementierung eines ganzheitlichen Schwachstellenmanagements Integration in ein vorhandenes ISMS nach ISO/IEC 27001 Risiko-Bewertung Planung, Einführung und Durchführung von methodischen Risiko-Assessments Schwachstellenanalyse Durchführung diverser Analysen VulnerabilityScans, Web ApplicationScans, APTs, Audits, Social Engineering Simulationen, etc. 23

VIELEN DANK FÜR IHRE AUFMERKSAMKEIT FRAGEN? Ulrich Heun Geschäftsführer und Management Consultant, CARMAO GmbH Vorstand des Kompetenzzentrum für Sicherheit KoSiB eg 24

wählen Sie CARMAO als Partner Firmensitz Rathausstraße 17 65611 Brechen Tel: +49 (6438) 9249-20 Fax: +49 (6438) 9249-23 Geschäftsstelle München Pilotystraße 4 80538 München Tel: +49 (89) 25557-246 Fax: +49 (89) 25557-247 kontakt@carmao.de www.carmao.de 25

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback